Puede configurar los ajustes de BGP para Instancias de SD-WAN Gateway a través de túneles de IPsec.

Solo se admite eBGP con BGP a través de IPsec.

Nota: Se recomienda utilizar eBGP entre sitios de SD-WAN Gateway y NSD. Si se utiliza iBGP, la aplicación de la preferencia local no funciona con el filtro saliente. En ese caso, el cliente debe elegir las opciones de métrica o anteposición de AS-PATH para lograr un enrutamiento deseable.

Para configurar los ajustes de BGP para una puerta de enlace:

Requisitos previos

Nota: La función de automatización de Azure vWAN de una puerta de enlace no es compatible con BGP a través de IPsec. Esto se debe a que solo se admiten rutas estáticas al automatizar la conectividad desde una puerta de enlace a una instancia de Azure vWAN.

Asegúrese de haber configurado lo siguiente:

Nota: Se recomienda activar el Cálculo de costes distribuidos (Distributed Cost Calculation) para obtener el mejor rendimiento y el mejor escalado cuando se utiliza BGP a través de IPsec a través de la puerta de enlace. El Cálculo de costes distribuidos (Distributed Cost Calculation) se admite a partir de la versión 3.4.0.

Para obtener más información sobre Cálculo de costes distribuidos (Distributed Cost Calculation), consulte la sección Configurar el cálculo de costes distribuidos de la Guía del operador de VMware SD-WAN, disponible en: https://docs.vmware.com/es/VMware-SD-WAN/index.html.

Procedimiento

  1. En el portal de empresas, haga clic en Configurar (Configure) > Servicios de red (Network Services).
  2. En el área Destinos que no son de SD-WAN a través de la puerta de enlace (Non SD-WAN Destinations via Gateway), haga clic en el vínculo Editar (Edit) de la columna BGP que corresponde a un Destino que no es de SD-WAN.
  3. En la ventana Editor de BGP (BGP Editor), haga clic en el control deslizante ACTIVADO (ON) para configurar los ajustes de BGP.
    1. Haga clic en Agregar filtro (Add Filter) para crear uno o varios filtros. Estos filtros se aplican al vecino para denegar o cambiar los atributos de la ruta. Se puede utilizar el mismo filtro para varios vecinos.
      En la ventana Crear filtro BGP (Create BGP Filter), establezca las reglas del filtro.
      Opción Descripción
      Nombre del filtro (Filter Name) Introduzca un nombre descriptivo para el filtro de BGP.
      Coincidir tipo y valor (Match Type and Value) Elija el tipo de rutas que desea que coincidan con el filtro:
      • Prefijo (Prefix): seleccione esta opción para buscar coincidencias con un prefijo e introduzca la dirección IP del prefijo en el campo Valor (Value).
      • Comunidad (Community): seleccione esta opción para buscar coincidencias con una comunidad e introduzca la cadena de comunidad en el campo Valor (Value).
      Coincidencia exacta (Exact Match) La acción de filtrado se realiza solo cuando las rutas BGP coinciden exactamente con la cadena de prefijo o de comunidad especificada. Esta opción está habilitada de forma predeterminada.
      Tipo de acción (Action Type) Elija la acción que se realizará cuando las rutas de BGP coincidan con la cadena de prefijo o de comunidad especificada. Puede permitir o denegar el tráfico.
      Establecer (Set) Cuando las rutas de BGP coinciden con los criterios especificados, se puede configurar la dirección del tráfico a una red en función de los atributos de la ruta. En la lista desplegable, seleccione una de las siguientes opciones:
      • Ninguna (None): los atributos de las rutas coincidentes permanecen invariables.
      • Preferencia local (Local Preference): el tráfico coincidente se dirige a la ruta con la preferencia local especificada.
      • Comunidad (Community): las rutas coincidentes se filtran por la cadena de comunidad especificada.
      • Métrica (Metric): el tráfico coincidente se dirige a la ruta de acceso con el valor de métrica especificado.
      • Anteposición de AS-PATH (AS-Path-Prepend): permite anteponer varias entradas de sistema autónomo (AS) a una ruta de BGP.
      Haga clic en el icono de signo más ( +) para agregar más reglas de coincidencia para el filtro.
      Haga clic en Aceptar (OK).
      Repita el procedimiento para crear más filtros de BGP.
      Los filtros configurados se muestran en la ventana del Editor de BGP (BGP Editor).
    2. En la ventana Editor de BGP (BGP Editor), configure los ajustes de BGP para las puertas de enlace principal y secundaria.
      Nota: La opción Puerta de enlace secundaria (Secondary Gateway) solo está disponible si configuró una puerta de enlace secundaria para el Destino que no es de SD-WAN correspondiente.
      Nota: En una implementación de cliente donde un destino que no es VMware SD-WAN (NSD) a través de una puerta de enlace está configurado para utilizar túneles redundantes y puertas de enlace redundantes, si las puertas de enlace principal y secundaria anuncian un prefijo con una ruta de acceso de AS igual a los túneles NSD principal y secundario, el túnel NSD principal preferirá una ruta de puerta de enlace redundante a la puerta de enlace principal. El hecho de que el túnel de NSD principal a través de una puerta de enlace prefiera la ruta de puerta de enlace redundante a la puerta de enlace principal solo afecta al tráfico de retorno hacia la puerta de enlace desde el destino NSD.

      Si no desea que el enrutador BGP prefiera la puerta de enlace redundante, la solución alternativa es configurar la anteponeción de AS-PATH y establecer el filtro de métricas en una métrica superior (3 o más) para el prefijo anunciado en la puerta de enlace redundante. Al hacerlo, se garantiza que el túnel principal del NSD elija la puerta de enlace principal para el tráfico de retorno.

      Opción Descripción
      ASN local (Local ASN) Introduzca el número de sistema autónomo (ASN) local
      Identificador de enrutador (Router ID) Introduzca el identificador de enrutador de BGP
      IP del vecino (Neighbor IP) Introduzca la dirección IP del vecino de BGP
      ASN Introduzca el ASN del vecino
      Filtro de entrada (Inbound Filter) Seleccionar un filtro de entrada en la lista desplegable
      Filtro de salida (Outbound Filter) Seleccionar un filtro de salida de la lista desplegable
      Opciones adicionales (Additional Options): haga clic en el vínculo ver todo (view all) para configurar los siguientes ajustes adicionales:
      IP local (Local IP) La dirección IP local equivale a una dirección IP de bucle invertido. Introduzca una dirección IP que las vecindades de BGP pueden usar como dirección IP de origen de los paquetes salientes.
      Límite máximo de saltos (Max-hop) Introduzca la cantidad máxima de saltos para habilitar el salto múltiple para los elementos del mismo nivel de BGP. Para la versión 5.1 y posteriores, el rango es de 2 a 255 y el valor predeterminado es 2.
      Nota: Al actualizar a la versión 5.1, cualquier valor de límite máximo de saltos de 1 se actualizará automáticamente a un valor de límite máximo de saltos de 2.
      Nota: Este campo solo está disponible para vecinos de eBGP, cuando el ASN local y el ASN de vecindad son diferentes.
      Permitir AS (Allow AS) Seleccione la casilla de verificación para permitir que las rutas BGP se reciban y se procesen incluso si la instancia de Gateway detecta su propio ASN en la ruta de AS.
      Ruta predeterminada (Default Route) La ruta predeterminada agrega una instrucción de red en la configuración de BGP para anunciar la ruta predeterminada al vecino.
      Habilitar BFD (Enable BFD) Habilita la suscripción a la sesión de BFD existente para el vecino de BGP.
      Conexión persistente (Keep Alive) Introduzca el temporizador de conexión persistente (Keep Alive) en segundos, que es la duración entre los mensajes de conexión persistente que se envían al elemento del mismo nivel. El rango es de 1 a 65535 segundos. El valor predeterminado es 60 segundos.
      Temporizador de retención (Hold Timer) Introduzca el tiempo de retención en segundos. Cuando no se recibe el mensaje de conexión persistente (Keep Alive) durante el tiempo especificado, el elemento del mismo nivel se considera inactivo. El rango es de 1 a 65535 segundos. El valor predeterminado es 180 segundos.
      Conectar (Connect) Introduzca el intervalo para intentar una nueva conexión TCP con el nodo del mismo nivel si se detecta que la sesión de TCP no es pasiva. El valor predeterminado es 120 segundos.
      Autenticación MD5 (MD5 Auth) Seleccione la casilla de verificación para habilitar la autenticación MD5 de BGP. Esta opción se utiliza en una red federal o heredada, y se utiliza como protección de seguridad para el intercambio de tráfico de BGP.
      Contraseña MD5 (MD5 Password) Introduzca una contraseña para la autenticación MD5.
    3. Haga clic en Aceptar (OK) para guardar los cambios.